Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 613 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S with IPSec and 2x2 ISP using Astaro and Cisco

UrsG
Hi,
we would like to connect 2 sites over IPsec. Each site has 2 ISP to achieve failover solution. The configuration looks like this:

Site A: 2x ASG120, 2 ISP, HA, load-balancing, 2 VPN to Site B, uplink monitoring on
Site B: 1 Cisco 1812, 2 ISP (2. ISP only for failover), 2 VPN to Site A

On Cisco (Site B), both VPN tunnels are shown as connected. On Cisco we use SLA objects (ping) to switch the route to Site A over ISP 2 to ISP 2, if ISP 1 on Site A or ISP 1 on Site B is not working.

On Astaro (Site A) we see one VPN tunnel as fully connected (2 green lights) and 1 VPN tunnel with the information "route is already in use ..." (one green and one red light). Ping from inside Site A to inside Site B is working.

Problem 1: If the ISP on Site B, over which the VPN is fully connected, goes down, then Cisco switches the route to the other ISP. Unfortunately, Astaro is not doing the same. How can we achieve this?

Problem 2: if  ISP 1 on Site A, over which the VPN is fully connected, goes down, then Cisco and Astaro switch to the other VPN which runs over ISP 2. As soon, as ISP 1 comes up again, Cisco switches the route back (that's how we would like to have it) to ISP 1 and it's VPN, but Astaro keeps going on routing over ISP 2. How can we tell Astaro to have a primary route over ISP 1?

Best regards
Urs


This thread was automatically locked due to age.
Parents
  • 0
    There are two "tricks" you need.  First, in the 'Remote Gateway' definition, the 'Gateway' should be an 'Availability Group' with the IPs of the Cisco listed in the order of the priority you want to connect to them.

    Second, in 'Uplink Balancing', make a multipath rule to bind the connection to the first-choice interface.  Then, in the 'IPsec Connection', set 'Local interface' to "Uplink interfaces" instead of a specific one.

    The folks on the Cisco side should know how to configure so that only a single tunnel is active at any time.

    Did that do it for you?

    Cheers - Bob
Reply
  • 0
    There are two "tricks" you need.  First, in the 'Remote Gateway' definition, the 'Gateway' should be an 'Availability Group' with the IPs of the Cisco listed in the order of the priority you want to connect to them.

    Second, in 'Uplink Balancing', make a multipath rule to bind the connection to the first-choice interface.  Then, in the 'IPsec Connection', set 'Local interface' to "Uplink interfaces" instead of a specific one.

    The folks on the Cisco side should know how to configure so that only a single tunnel is active at any time.

    Did that do it for you?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thank You Bob for You great tips. It works as suggested. On Cisco, instead of two tunnels, there is now only one tunnel, with two addresses, same way as on Astaro.

    We also thank Annexnet, our partner mr. Kotmel, who helped immensly to refine the IPSec configuration.